TP Rseaux II

Dpt. Internet 2me anne 2007-2008

TP 5 CISCO et le simulateur Packet Tracer

Partie 1 : Matriels CISCO

1) Le systme d'exploitation Cisco Les routeurs, switchs et catalysts Cisco sont classs par gamme comprenant chacune plusieurs modles. L'IOS, le systme d'exploitation, est le mme sur l'ensemble des matriels. L'IOS se dcline selon plusieurs gammes appeles packages dont les fonctionnalits varient en fonction des capacits du matriel. Les switchs fonctionnent aux niveaux 1 et 2, les routeurs aux niveaux 1,2 et 3, les catalysts sont des switchs (donc niveau 2) ayant des fonctionnalits de routage (niveau 3) plus ou moins rduites selon la gamme. 2) Architecture matriel L'architecture compte 5 composants : Le CPU : de la puissance du CPU dpend la capacit de traitement du matriel. La mmoire flash : sous forme d'une barrette ou d'une carte permet de stocker une ou plusieurs images de l'IOS souvent compresses. La ROM : mmoire permanente contenant le code de diagnostique du matriel ainsi que le code de chargement de l'image contenu dans la mmoire flash vers la RAM. C'est l'quivalent du BIOS. La RAM : mmoire volatile contenant toutes les informations permettant au matriel de fonctionner (table de routage, table ARP, table de VLAN, ...). L'IOS se charge en RAM au dmarrage du matriel. La NVRAM : mmoire non volatile, c'est la mmoire de masse, l'espace de stockage de la configuration. Au dmarrage le programme de la ROM charge une image de la Flash vers la RAM, la premire action de l'IOS est de charger la configuration stocke dans la NVRAM vers la RAM. Si on modifie la configuration prsente dans la NVRAM en cours de fonctionnement, le matriel ne prendra en compte les modifications qu'au prochain chargement de cette configuration dans la RAM. Si on modifie la configuration prsente dans la RAM en cours de fonctionnement, le matriel prendra en compte les modifications instantanment. 3) Configuration du matriel Il existe diffrents moyens pour configurer le matriel : Par la porte console (c'est une liaison srie avec un terminal) qui donne accs la CLI (Command Line Interface), une console de commande en ligne. Par Telnet ou SSH pour avoir accs la CLI distance (ncessite que le matriel possde une adresse IP). Par TFTP en chargeant une configuration complte (ncessite que le matriel possde une adresse IP). 1

TP Rseaux II

Dpt. Internet 2me anne 2007-2008

Par l'interface WEB CMS (Cluster Management Suite) lorsqu'elle existe (ncessite que le matriel possde une adresse IP). Par SNMP par une console d'administration SNMP (ncessite gnralement que le matriel possde une adresse IP). La configuration initiale se fait donc par la console. 4) Interprteur de commande (CLI exec) Linterprteur de commande, comme son nom lindique, est responsable de linterprtation des commandes que vous tapez. La commande interprte, si elle est correcte, ralise lopration demande.
lab-bt#sh arp Protocol Address Age (min) Hardware Addr Type Interface Internet 128.253.154.204 0 0080.c723.989f ARPA Ethernet0 Internet 128.253.154.110 0 0040.951a.24c4 ARPA Ethernet0 Internet 128.253.154.116 - 0010.7bc2.07cf ARPA Ethernet0 Internet 128.253.154.2 0 0000.4d21.8405 ARPA Ethernet0 Internet 128.253.154.9 0 0040.055a.9476 ARPA Ethernet0 lab-bt#

Si lors de la configuration initiale un (ou des) password a t configur, vous devez introduire ce password pour accder linterprteur de commande. Il y a 2 modes dexcution sur un routeur Cisco : 1. Le mode utilisateur (prompt : >) 2. Le mode privilgi (prompt : #) Lors de la connexion initiale avec le routeur, vous arrivez dans le mode utilisateur. Pour passer au mode privilgi, vous devez introduire la commande "enable" et ensuite introduire un mot de passe. Le mode utilisateur sert uniquement la visualisation des paramtres (pas de la configuration) et des diffrents status du routeur. Par contre, le mode privilgi permet, en plus de la visualisation des paramtres, la configuration du routeur et le changement de paramtres dans la configuration. Linterprteur de commande des routeurs Cisco est trs souple et vous permet de demander les commandes disponibles. Vous dsirez savoir les commandes qui commencent par ho, rien de plus simple, ho ? <enter>. Il est aussi possible dutiliser lexpansion de commande comme sous Unix (avec la touche de tabulation). Si il ny pas de confusions possibles, vous pouvez utiliser les abrviations de commande. Par exemple, "sh ip int brie" au lieux de "show ip interface brief". Cela permet de gagner du temps et de rendre la vie un peu plus facile. 5) Les fichiers de configuration Dans un routeur cisco (en gnral), il existe diffrents fichiers de configuration. Il y a un fichier de configuration dans la nvram (startup-config), qui est lu au dmarrage du routeur et copi en mmoire. 2

TP Rseaux II

Dpt. Internet 2me anne 2007-2008

Il y a un autre fichier de configuration dans la mmoire vive (running-config). La "startup-config" est conserve dans la nvram sous forme ASCII. Tandis que la runningconfig est dans la ram sous forme binaire. 6) Configuration gnrale Lorsque vous dsirez passer en mode configuration, vous devez taper (en mode enable) :
conf terminal

Cela signifie que vous configurer le routeur en mode terminal. Il est tout fait possible de configurer via TFTP par exemple. A ce moment le prompt change en :
router(config)#

Donc vous tes dans la racine de la configuration du routeur et vous pouvez configurer les paramtres gnraux. 7) Configuration des interfaces Mais lors de la configuration dun routeur, vous configurez souvent des interfaces. Il est donc ncessaire de passer du mode configuration gnrale vers la configuration de linterface. Voici un exemple :
router> enable password : router#configure terminal router(config)#interface ethernet 0 router(config-if)#ip address 10.1.1.1 255.255.255.0 router(config-if)#exit router(config)#exit router#copy running-config startup-config

Dans cet exemple, on peut voir la configuration de linterface ethernet 09 avec son addresse IP et son masque rseau. Lors de ce genre de configuration, nous modifions la configuration "running" et donc nous ralisons un "copy running-config startup-config" pour sauver la configuration dans la nvram. 8) Configuration des lignes VTY Il existe aussi diffrent types dinterfaces configurer. Par exemple, la configuration des interfaces vituelles (pour laccs via telnet du cli-exec) se fait de la mme manire que les interfaces.
gw-int>enable password : gw-int#configure terminal

TP Rseaux II

Dpt. Internet 2me anne 2007-2008

gw-int(config)#line vty 0 6 gw-int(config-line)#password MonSuperPasswordd gw-int(config-line)#exec-timeout 15 0 gw-int(config-line)#exit gw-int(config)#exit gw-int#

Dans ce cas, on configure le password pour 7 sessions possibles via telnet sur le routeur. On spcifie le password (sinon on ne sait pas se connecter distance) ainsi que le timeout dutilisation pour fermer les sessions quand elles ne sont plus utilises. 9) Configuration des interfaces routages La configuration des protocoles de routage est ralis de la mme manire que les interfaces. "router leprotocolederoutage" Protocole de routage bgp egp igrp isis iso-igrp ospf rip static Description Border gateway protocol Exterior gateway protocol Interior gateway protocol ISO IS-IS IGRP pour les rseaux OSI Open shortest path first Routing information protocol Static CLNS routing

ip-int-gw>enable password : ip-int-gw#configure terminal ip-int-gw(config)#router ospf 303 ip-int-gw(config-router)#network 145.30.6.0 ip-int-gw(config-router)#exit ip-int-gw(config)#exit ip-int-gw#

TP Rseaux II 10) Access Lists

Dpt. Internet 2me anne 2007-2008

Les routeurs Cisco fournissent la possibilit de faire du filtering. Les access lists peuvent tre configures pour tous les protocoles routables (IP, IPX, AppleTalk, ...). Vous pouvez configurer les access lists sur chaque routeur de faon indpendante. Les access lists permettent de prvenir laccs sur votre rseau. Les access lists ne sont pas uniquement destines la scurit mais peuvent tre utilises dans le cadre de contrles douverture de ligne (DDR, ...). Utilisation des access lists Les access list filtrent le traffic rseau en contrlant si des paquets routs sont transfrs ou bloqus sur le(les) interface(s) du routeur. Un routeur peut examiner chaque paquet suivant ce que vous avez spcifi dans les access lists. Il est noter que la scurit est minimum, un utilisateur averti pourrait contourner les access lists. Les critres dune access list sont ladresse de source du traffic, la destination du traffic, le niveau de protocole ou dautres informations. Pourquoi utiliser des access lists. Il y a beaucoup de raisons pour configurer des access lists : Restreindre la mise jour des tables de routage Contrler le flux du rseau (pour les route-map par exemple) Et bien sr limiter les accs aux rseaux ou des services spficiques du routeur. Vous pouvez utiliser les access lists pour fournir un niveau minimum de scurit. Si aucune acess lists nest configure, le traffic passe sans aucune restriction travers le routeur. Cration daccess lists Il y a 2 tapes pour la cration de listes de contrle. La premire est de crer laccess list et la seconde tape est de lappliquer sur linterface. Lors de la cration de lacess list, il faut lui assigner un identificateur unique. Dans la majorit des cas, vous devrez utiliser un numro (suivant le type de protocole filtrer). Il est aussi possible dutiliser une access list base un nom mais uniquement avec certains protocoles. Protocole IP Extended IP Ethernet type code Ethernet address Transparent bridging (protocol type) Transparent bridging (vendor code) Extended transparent bridging Espace 1 99 100 199 200 299 700 799 200 299 700 799 1100 1199

TP Rseaux II

Dpt. Internet 2me anne 2007-2008 DECnet & extended DECnet XNS Extended XNS Appletalk Source-route bridging (protocol type) Source-route bridging (vendor code) IPX Extended IPX IPX SAP VINES 300 399 400 499 500 599 600 699 200 299 700 799 800 899 900 999 1000 1099 1 100

La cration dune access list est une suite de critres avec les paramtres sources, destinations, ou types de protocole. Pour une access list donne (un numro unique ou un nom unique) vous pouvez avoir plusieurs entres. Vous ntes pas limit dans la taille de la liste (juste par la mmoire). Par contre, plus la liste est longue, plus elle prend du temps tre parcourue (!). Exemple :
interface serial 0/4 ip addresse 192.168.1.254 255.255.255.0 ip access-group 1 in ! ! access-list 1 permit 192.168.1.1 access-list 1 deny 192.168.2.0 0.0.0.255

A la fin de chaque access lists, il y a la rgle implicite deny all traffic. Ce qui signifie que ce qui nest pas spcifi est interdit. Lordre des entres dans laccess-list est important et cest la premire rgle qui satisfait qui est prise en compte. Lors de la modification dune access list, il est difficile de la modifier. Il vous est impossible dinsrer une rgle dans lacces list. La seule solution est deffacer la liste et de la recrer (mme si vous avez 300 entres). Vous pouvez aussi copier la liste en TFTP et ensuite la recharger en TFTP.

TP Rseaux II

Dpt. Internet 2me anne 2007-2008

Partie 2 : Utilisation du simulateur Packet Tracer

Nous allons utiliser le simulateur Packet Tracer de CISCO. Vous le trouverez ici : http://nicolas.durand.perso.esil.univmed.fr/pub/reseaux/tp5/ Dans sa version 4 (et suprieure) la configuration des matriels est simplifie grce l'interface graphique (les commandes quivalentes s'affichent alors dans la console). Vous pouvez tout de mme taper les commandes directement dans la console d'un matriel, si vous le dsirez. Tout au long du TP, vous noterez les commandes que vous obtenez lors de l'utilisation et la configuration de vos matriels. Notez seulement les commandes la premire fois quelles sont rencontres. Remarque : vous avez la possibilit de modifier un matriel en lui ajoutant des modules (par exemple, des ports Ethernet 100Mb supplmentaires). Pour faire cela, vous devez teindre le matriel, modifier les modules, puis le rallumer. ATTENTION : si vous avez modifi la configuration du matriel, vous devez enregistrer la configuration dans la NVRAM du matriel en question avant de l'teindre, sinon vous perdrez votre configuration.

Travail raliser : Concevez un petit rseau d'entreprise en utilisant Packet Tracer. Il y aura par exemple un sous-rseau pour la comptabilit, l'administration, un autre pour la production, Il faudra aussi prvoir des serveurs (DNS, Web, ), Pensez noter dans un document les explications de votre rseau : les sous-rseaux, les machines, leurs rles, leurs adresses, leurs configurations, (toutes informations juges importantes).

A envoyer par email : le document et le fichier ".pkt" du rseau ralis avec Packet Tracer.